如何放开富文本编辑器的源码过滤已解决悬赏25积分

提问者柳海超答案数1 阅读数90 发表时间2024-11-11 09:48:41

想要在富文本里插入iframe标签可以暂不考虑安全问题(只有内部使用),请问如何放开标签的过滤;

禅道版本：禅道开源版 18.12

安装包类型：Windows安装包

操作系统：

客户端浏览器：

答案列表

🚢

王林 2024-11-11 11:10:29

这个问题有在群里沟通回复过哈

可以在代码目录zentao/config/my.php文件中加一行$config->xFrameOptions = false，取消禁止iframe嵌入

如果不生效的话，可以试一下到common/model.php文件搜索这个字符串，注释掉那一行

如果还是不行的话，禅道中就没有相应的配置限制了，可以看看集成的软件是否有参数可以调整

f_dbcc2b42b8285092433759d4186e769e&t=png

10条回复

🚗

柳海超 2024/11/11

不好意思,可能我的表达有点问题.我的意思是我想要咱们禅道的富文本编辑器里用iframe引入别的页面,18.12版本的富文本编辑器里有一个源代码模式,我在这个模式里加入iframe是生效的,但是表单提交的时候会被过滤掉, 请问在哪里可以去掉这个过滤; 参考这个问题 https://www.zentao.net/ask/4936.html

🚢

王林 2024/11/12

在my.php文件中加一行$config->framework->filterXSS 然后再试一下？

🚗

柳海超 2024/11/12

你好我尝试了在config.php中 $config->framework->filterXSS 改为false,富文本框依然过滤了 iframe

🚢

王林 2024/11/12

这不太可能哈，正常这里改成false后，lib/base/filter/filter.class.php文件中的filterXSS方法应该就不会往下走了。
咱们可以确认下是否找错文件了？或者可以试下在这个方法打一下断点跟踪代码，看下是否还会进入这个方法里？

🚗

柳海超 2024/11/12

你好。我对php开发不是很了解不太会断点调试;但是我尝试了绕过了判断直接返回依旧没有生效富文本框里的iframe依然被过滤掉了;如果你方便的话能否帮我验证一下?
if(empty($config->framework->filterXSS)) return $var;
return $var;//绕过判断

🚢

王林 2024/11/12

和研发同事确认了下，目前富文本框不支持直接使用iframe标签嵌入网页的。
编辑器里有一些隐藏标签把文本隔开了。

🚗

柳海超 2024/11/12

你好是这样的我用的是18.12版本的;这个版本的富文本框里有一个HTML代码按钮,按了这个按钮之后就可以输入正常的html标签(不会被隔离);浏览器里面查看表单提交也是正常的desc: dfsdfasdfasdfsd<iframe src="/www"></iframe> 但是入库之后<iframe src="/www"></iframe>被过滤了只剩下dfsdfasdfasdfsd; ps:新版本已经没有这个按钮了

🚢

王林 2024/11/12

这个不是标签被过滤了，看下上面截图，数据存储到数据库后编辑器里会有一些隐藏标签把文本隔开
在页面上还是显示的之前保存内容的。

🚗

柳海超 2024/11/12

你好我又提交了一个问题 https://www.zentao.net/ask/598068.html 放了图片有时间麻烦看一下

🚢

王林 2024/11/13

好的，我们和研发同事确认下，在另一个帖子回复咱们

联系我们